Viranomaisten yhteisoperaatio torjui Venäjän kybervakoilua

Suojelupoliisi ja Traficomin Kyberturvallisuuskeskus varoittavat suomalaisia Venäjän tavasta hyödyntää heikosti suojattuja kotireitittimiä ja muita verkkolaitteita kybervakoilussa.

Viranomaisten kansainvälinen yhteisoperaatio on onnistunut häiritsemään Venäjän sotilastiedustelupalvelu GRU:n kybervakoilutoimintaa estämällä murretuista verkkolaitteista koostuvan maailmanlaajuisen kybervakoiluverkoston käyttämisen. Suomesta suojelupoliisi ja Traficomin Kyberturvallisuuskeskus osallistuivat Yhdysvaltojen FBI:n johtamaan operaatioon.

GRU:hun liitetty kyberuhkatoimija, joka tunnetaan myös nimillä APT28, Fancy Bear ja Forest Blizzard, on viime vuosina hyödyntänyt erityisesti heikosti suojattuja kotireitittimiä osana maailmanlaajuista kybervakoiluinfrastruktuuriaan. Kansainvälinen yhteisoperaatio on kohdistunut GRU:n murtamiin TP-Linkin reitittimiin, joissa ei ole korjattu haavoittuvuutta CVE-2023-50224. Tämä haavoittuvuus antaa hyökkääjälle mahdollisuuden tehdä laitteelle tietopyynnön, joka on paljastanut laitteeseen tallennetut salasanat tai avaimet ja näin mahdollistanut laitteen kaappaamisen hyökkääjän käyttöön.

GRU on käyttänyt murrettuja verkkolaitteita laitteiden käyttäjien vakoiluun muuttamalla laitteiden nimipalveluasetuksia (DNS). Tämä on mahdollistanut niin kutsutun välimieshyökkäyksen (adversary-in-the-middle) toteuttamisen ja salatun verkkoliikenteen purkamisen. Murrettuja verkkolaitteita on myös voitu käyttää osana niin kutsuttua toiminnansuojausinfrastruktuuria, joka sekä mahdollistaa kybervakoiluliikenteen naamioimisen tavanomaiseksi verkkoliikenteeksi että vaikeuttaa tekijän havaitsemista, tunnistamista ja jäljittämistä. GRU:n toiminnan kiinnostuksen kohteena on ollut sotilaallista toimintaa, valtionhallintoa ja kriittistä infrastruktuuria koskeva salassa pidettävä tieto.

Suomessa suojelupoliisi ja Kyberturvallisuuskeskus torjuivat yhdessä Suomeen kohdistuvaa ja Suomen kautta toteutettavaa kyberuhkaa. Yhteisoperaation aikana viranomaiset informoivat riskireititinten omistajia, puhdistivat ne laitteet, joille GRU:lla oli kyky murtautua ja estivät GRU:n pääsyn laitteille yhteistyössä laitteiden omistajien kanssa. Venäjän tiedustelupalvelut aiheuttavat kuitenkin jatkuvan ja pitkäkestoisen tiedustelu- ja kyberuhan Suomelle eikä yhden laiteverkoston hajottaminen poista uhkaa.

Viranomaiset varoittavat, että Venäjä käyttää tiedonhankintaan heikosti suojattuja internetiin kytkettyjä verkkolaitteita ympäri maailmaa. Varoituksen tarkoitus on kannustaa laitteiden omistajia ja tietoturva-asiantuntijoita vähentämään omilla toimillaan verkkovakoilun mahdollisuuksia.

Heikosti suojattu reititin voi omistajan huomaamatta mahdollistaa kybervakoilun tai muun haitallisen toiminnan. Jokainen suomalainen voi parantaa verkon turvallisuutta huolehtimalla omista verkkolaitteistaan. Laitteet, sovellukset ja ohjelmistot on hyvä pitää ajan tasalla ja asentaa päivitykset säännöllisesti. Kun kotiverkon laitteet ovat ajantasaisia, päivitettyjä ja valmistajan tukemia, riski niiden käyttämisestä kyberhyökkäyksiin pienenee merkittävästi.

Kyberturvallisuuskeskuksen verkkosivuilta löydät lisätietoa omien laitteittesi suojaamisesta:

FBI julkaisi viranomaisten yhteisen varoituksen 7.4.2026:

Teknistä tietoa APT28:n toiminnasta:

Lisätietoja
Suojelupoliisin viestintä, p. 050 402 6981, [email protected]
Traficomin mediapalvelu, p. 029 534 5648